分布式拒绝服务攻击

摘要： 提出基于主成分分析(PCA)和随机森林(Random Forest)的分布式拒绝服务(DDoS)攻击检测模型PCA-RF。对数据进行预处理操作后进行PCA降维,以保留数据的最大特征分量,然后将降维处理的数据放入随机森林模型进行训练得到分类结果。与其他5类机器学习算法对比的结果显示,所提出的PCA-RF算法的识别准确率达到了99.92%,训练时间在对比实验中也是最短的。

摘要： 基于双向的门控循环单元(Bidirectional Gated Recurrent Unit,BiGRU)网络能够解决传统RNN模型存在的梯度消失或梯度爆炸问题,文中提出了一种基于Renyi熵和BiGRU算法实现SDN(Software Defined Network)环境下的DDoS攻击检测方法,首先应用Renyi熵进行异常流量检测,检测划分为正常、异常两种结果,检测为异常的流量将应用BiGRU(bi-gatedrecurrentunit,BiGRU)算法进行攻击检测;然后利用交换机收集流表信息,提取了6个特征向量作为攻击检测的特征向量,最后通过Mininet模拟SDN的网络拓扑结构,基于控制器OpenDaylight完成检测。实验结果表明:相比SVM和BPNN神经网络检测算法,所提检测方案的检测准确率和识别率更高,有较好的综合检测能力。

摘要： 工业控制系统(Industrial Control System,ICS)是电力行业基础设施核心组成部分,直接关系国民经济和社会稳定。随着互联网发展,电力行业工控系统安全面临诸多挑战,网络攻击事件频发,其中分布式拒绝服务攻击(Distributed Denial of Service,简称DDoS)是主要的安全威胁之一,给电力工控系统安全带来了极大的威胁。针对电力行业网络特点及DDoS攻击特点,对工业控制系统的DDoS攻击进行了分类,并对现有的抗DDoS攻击技术进行分析和评估,以展望DDos攻击防御技术未来的研究方向。

摘要： 分布式拒绝服务攻击是当前流行的网络攻击手段之一,影响力巨大。本文主要探讨了DDoS攻击的检测方法和IP溯源技术,重点分析3种DDoS检测方法:流量、日志、数据包分析法,提出了运用数据包切片标记实现对伪造IP攻击溯源的方法。通过搭建分布式DDoS攻击实验环境,综合应用流量监控、日志分析和数据包切片标记的方法实现了对DDoS的IP溯源。通过反复实验测试,证明方法的可行性、准确率可达90%。

摘要： 分布式拒绝服务(DDoS)攻击一直是互联网的主要威胁之一,在软件定义网络(SDN)中会导致控制器资源耗尽,影响整个网络正常运行。针对SDN网络中的DDoS攻击问题,文章设计并实现了一种两级攻击检测与防御方法。基于控制器北向接口采集交换机流表数据并提取直接特征和派生特征,采用序贯概率比检验(Sequential Probability Ratio Test,SPRT)和轻量级梯度提升机(LightGBM)设计两级攻击检测算法,快速定位攻击端口和对攻击类型进行精准划分,通过下发流表规则对攻击流量进行实时过滤。实验结果表明,攻击检测模块能够快速定位攻击端口并对攻击类型进行精准划分,分类准确率达到98%,攻击防御模块能够在攻击发生后2 s内迅速下发防御规则,对攻击流量进行过滤,有效保护SDN网络的安全。

摘要： 传统软件定义网络(SDN)中的分布式拒绝服务(DDoS)攻击检测方法需要控制平面与数据平面进行频繁通信,这会导致显著的开销和延迟,而目前可编程数据平面由于语法无法实现复杂检测算法,难以保证较高检测效率。针对上述问题,提出了一种基于可编程协议无关报文处理(P4)可编程数据平面的DDoS攻击检测方法。首先,利用基于P4改进的信息熵进行初检,判断是否有可疑流量发生;然后再利用P4提取特征只需微秒级时长的优势,提取可疑流量的六元组特征导入数据标准化—深度神经网络(data standardization-deep neural network,DS-DNN)复检模块,判断其是否为DDoS攻击流量;最后,模拟真实环境对该方法的各项评估指标进行测试。实验结果表明,该方法能够较好地检测SDN环境下的DDoS攻击,在保证较高检测率与准确率的同时,有效降低了误报率,并将检测时长缩短至毫秒级别。

摘要： 分布式拒绝服务(distributed denial-of-service,DDoS)攻击是网络中的常见威胁,攻击者通过向受害服务器发送大量无用请求使正常用户无法访问服务器,DDoS逐渐成为软件定义网络(software-defined networking,SDN)的重大安全隐患。针对SDN中DDoS攻击检测问题,提出了一种粗粒度与细粒度相结合的检测方案,使用队列论及条件熵作为到达流的粗粒度检测模块,使用机器学习作为细粒度检测模块,从合法包中准确检测出恶意流量。实验表明,在使用Mininet模拟SDN网络的环境中,方案可准确检测出DDoS攻击。

摘要： 软件定义网络(Software-defined Network,SDN)以可编程的形式定义路由,对传统网络架构进行了一次彻底颠覆.通过采用中心化的拓扑结构,SDN有效实现了对网络基础设施的全局控制.然而这种中心化的拓扑极易受到网络攻击的威胁,如分布式拒绝服务攻击(Distributed Denial of Service,DDoS).传统的DDoS通过堵塞交换机带宽,消耗控制器计算资源的方式实现拒绝服务.近年来,又有新型的DDoS变种通过攻击控制器与交换机通信的南向通道,攻击交换机流表的方式实现拒绝服务.为了缓解传统DDoS和新型DDoS带来的安全问题,本文提出了一个面向SDN的轻量化DDoS检测防御框架SDDetector(Software Defined Detector).可以在粗粒度和细粒度两种模式下运行,粗粒度模式通过提取SDN交换机中的统计特征对可疑的攻击行为进行阈值警报;触发警报后,细粒度模式再进行二次特征提取,并利用熵检测算法和SVM检测算法做进一步地攻击判别.研究发现,熵检测算法擅长处理采用源IP伪造技术的DDoS攻击以及针对SDN的新型DDoS攻击;而SVM检测算法擅长处理基于应用层协议的、需要交互的DDoS攻击.SDDetector以近似并行的模式运行两种算法,自动使特征提取速度最快的算法来完成攻击检测,从而大幅降低了系统对攻击的响应时间.经过实验验证发现,在特定场景下,本文提出的模型能够比单一的检测方案少用75％的响应时间.

摘要： 构建了基于粒子群优化卷积神经网络(PSO-CNN)的分布式拒绝服务攻击(DDoS)攻击检测模型.利用卷积神经网络的权值共享和最大池化自动挖掘网络数据流特征,引入粒子群对卷积核进行优化,在提升模型训练效率的同时,增强了模型的全局寻优能力.实验结果表明,该模型能够有效检测DDoS攻击,具有较高的检测准确率.

摘要： 高级计量基础设施(AMI)和消费者之间的双向通信使AMI网络易受各种攻击.针对其中的分布式拒绝服务攻击,将蜜罐引入AMI网络作为诱饵系统,并考虑攻击者会通过反蜜罐侦察后再选择攻击行为来创建博弈模型.运用博弈论分析混合服务模型下双方的行为策略,进一步验证存在的几个贝叶斯均衡和约束条件.经分析表明该策略相对于传统网络攻防博弈具有更好的有效性和主动性.通过博弈仿真软件Gambit进行仿真,结果表明该方案可以有效干扰攻击者决策,帮助提高攻击检测率.

摘要： 为了有效防御应用层分布式拒绝服务攻击(DDoS),定义了一种搭建在Web应用服务器上的基于Web行为轨迹的防御模型.把用户的访问行为抽象为Web行为轨迹,根据攻击请求的生成方式与用户访问Web页面的行为特征,定义了四种异常因素,分别为访问依赖异常、行为速率异常、轨迹重复异常、轨迹偏离异常.采用行为轨迹化简算法简化行为轨迹的计算,然后计算用户正常访问网站时和攻击访问时产生的异常因素的偏离值,来检测针对Web网站的分布式拒绝服务攻击,在检测出某用户产生攻击请求时,防御模型禁止该用户访问来防御DDoS.实验采用真实数据当作训练集,在模拟不同种类攻击请求下,防御模型短时间识别出攻击并且采取防御机制抵制.实验结果表明,Web行为轨迹的防御模型能够有效防御针对Web网站的分布式拒绝服务攻击.

摘要： 分布式拒绝服务攻击(DDoS)是重要的安全威胁,网络速度的不断提高给传统的检测方法带来了新的挑战.以Spark等为代表的大数据处理技术,给网络安全的高速检测带来了新的契机.提出一种基于Spark Streaming框架的自适应实时DDoS检测防御技术,通过对滑动窗口内源簇进行分组,并根据与各分组内源簇比例的偏差统计,检测出DDoS攻击流量.通过感知合法的网络流量,实现了对DDoS攻击的自适应快速检测和有效响应.实验结果表明该技术可极大的提升检测能力,为保障网络服务性能和安全检测的可扩展性提供了一种可行的解决方案.

摘要： 为了提高云计算环境的整体安全性,提出一种基于熵的分布式拒绝服务(DDoS)攻击评估方法.该方法利用层次分析法提出DDoS攻击效果评估指标的量化模型,评估云计算环境下虚拟机遭受DDoS攻击威胁的可能性,为降低误报率,对危险虚拟机检测其信息熵值,确定虚拟机遭受DDoS攻击的真实性.通过虚拟的实验网络环境进行实验,证实该方法能有效评估攻击.

摘要： 本文对应用层慢速DDOS的原理进行分析,建议使用Anti-DDoS设备、Nginx，为了让Nginx支持更多的并发连接数，根据实际情况对工作线程数和每个工作线程支持的最大连接数进行调整。或者通过禁止IP地址进行被动防御。比如访问者通过浏览器正常访问网站，与服务器建立的连接一般不会超过20个，可以通过脚本禁止连接数过大的IP访问。

摘要： 本文对应用层慢速DDOS的原理进行分析,建议使用Anti-DDoS设备、Nginx，为了让Nginx支持更多的并发连接数，根据实际情况对工作线程数和每个工作线程支持的最大连接数进行调整。或者通过禁止IP地址进行被动防御。比如访问者通过浏览器正常访问网站，与服务器建立的连接一般不会超过20个，可以通过脚本禁止连接数过大的IP访问。

摘要： 本文对应用层慢速DDOS的原理进行分析,建议使用Anti-DDoS设备、Nginx，为了让Nginx支持更多的并发连接数，根据实际情况对工作线程数和每个工作线程支持的最大连接数进行调整。或者通过禁止IP地址进行被动防御。比如访问者通过浏览器正常访问网站，与服务器建立的连接一般不会超过20个，可以通过脚本禁止连接数过大的IP访问。

摘要： 本文对应用层慢速DDOS的原理进行分析,建议使用Anti-DDoS设备、Nginx，为了让Nginx支持更多的并发连接数，根据实际情况对工作线程数和每个工作线程支持的最大连接数进行调整。或者通过禁止IP地址进行被动防御。比如访问者通过浏览器正常访问网站，与服务器建立的连接一般不会超过20个，可以通过脚本禁止连接数过大的IP访问。

摘要： 以僵尸网络为载体的DDoS攻击是当今互联网所面临的严重威胁之一.这里提出一种将DDoS攻击检测与DPI技术相结合来检测僵尸网络的方法.通过分析僵尸网络的活动特征,利用DDoS攻击检测在骨干网环境中定位可疑僵尸主机,再结合报文深度分析方法,过滤出C&C通讯流量,并定位C&C Server.基于该思路设计实现的一个原型系统DTS,在CERNET南京主节点部署后,成功地检测到多个DDoS活动的僵尸网络.

摘要： 以僵尸网络为载体的DDoS攻击是当今互联网所面临的严重威胁之一.这里提出一种将DDoS攻击检测与DPI技术相结合来检测僵尸网络的方法.通过分析僵尸网络的活动特征,利用DDoS攻击检测在骨干网环境中定位可疑僵尸主机,再结合报文深度分析方法,过滤出C&C通讯流量,并定位C&C Server.基于该思路设计实现的一个原型系统DTS,在CERNET南京主节点部署后,成功地检测到多个DDoS活动的僵尸网络.

摘要： 以僵尸网络为载体的DDoS攻击是当今互联网所面临的严重威胁之一.这里提出一种将DDoS攻击检测与DPI技术相结合来检测僵尸网络的方法.通过分析僵尸网络的活动特征,利用DDoS攻击检测在骨干网环境中定位可疑僵尸主机,再结合报文深度分析方法,过滤出C&C通讯流量,并定位C&C Server.基于该思路设计实现的一个原型系统DTS,在CERNET南京主节点部署后,成功地检测到多个DDoS活动的僵尸网络.

摘要： 本发明提供了通过在因特网主干连接中的一个或数个点上取样分组以确定分组度量参数，在因特网内检测分布式拒绝服务(DDoS)攻击的系统。在所选时间间隔上相对于发送分组的主机所处的指定地理位置分析可以包括接收的分组的数量的分组度量参数。预期行为可以应用于识别揭示DDoS攻击的业务失真。在补充方面，本发明提供了在路由器上验证分组以便提高验证分组的QoS的方法。这个方法可以用于阻止和过滤分组和可以与DDoS攻击检测系统结合在一起用于分布式地防御因特网内的DDoS攻击。

摘要： 门设备8获取授权地址信息，该信息表示由网络2上所提供的授权设备(地址发布服务器10)发送过来的非攻击性分组的源地址。门设备8基于所获取的授权地址信息来产生用于表示非攻击性分组所对应的条件的正常条件信息，并在从网络中接收到的诸多分组中限制在通信设备7上进行攻击的分组的传递，同时允许传递与正常条件信息中所示的条件相匹配的分组。

摘要： 本发明具有：监视装置(5)，其设置在LAN(2)上，监视通过ISP网(4)发送到与LAN(2)连接的至少一个通信设备(3)的数据包；以及限制装置(6)，其设置在ISP网(4)内，限制去往LAN(2)的数据包，监视装置(5)检测由数据包对通信设备(3)的攻击，把表示对所检测到的攻击进行防御的请求的防御请求信息发送到限制装置(6)，限制装置(6)根据防御请求信息限制通过ISP网(4)发送到通信设备(3)的数据包。

摘要： 本发明提供了通过在因特网主干连接中的一个或数个点上取样分组以确定分组度量参数，在因特网内检测分布式拒绝服务(DDoS)攻击的系统。在所选时间间隔上相对于发送分组的主机所处的指定地理位置分析可以包括接收的分组的数量的分组度量参数。预期行为可以应用于识别揭示DDoS攻击的业务失真。在补充方面，本发明提供了在路由器上验证分组以便提高验证分组的QoS的方法。这个方法可以用于阻止和过滤分组和可以与DDoS攻击检测系统结合在一起用于分布式地防御因特网内的DDoS攻击。

摘要： 本发明涉及一种分布式拒绝服务攻击检测方法、装置及服务器，所述方法包括：预先对预设时间段内采集的多维度流量数据进行离线计算，得到每个维度的流量值基线；对获取的实时流量进行解包，得到多维度实时流量数据；根据所述多维度实时流量数据，统计每个维度的实时流量值；将每个维度的所述实时流量值与所述流量值基线进行差异比较；分析所述差异比较的结果，判断是否输出告警信息。本发明能够适应现网复杂的业务流量形态，避免了一刀切阈值产生的误告警和小流量漏报，提高了检测的准确率，并且提升了检测的灵敏度。

摘要： 本发明公开了一种分布式服务对抗分布式拒绝服务攻击方法，该方法包括：以互联网或大型的计算机网络为基础，以能支持虚拟机的计算机硬件结点为平台，统一运行虚拟机服务器，提供分布式Web服务。对虚拟机采用自我修复的机制，同时采用安全可靠的机制来进行可信任的通信和协同。本发明解决了中心受攻击目标问题、系统成本问题、硬件设备可靠性和硬件平台差异问题，同时解决了可信任通信、协同问题。本发明同时公开了一种分布式服务对抗分布式拒绝服务攻击的方法。

摘要： 本发明公开了一种基于分布式多级协同的分布式拒绝服务攻击监控系统及方法，系统包括汇聚控制器和服务节点，所述汇聚控制器为一个或多个，管理与其连接的一个或者多个的服务节点，向与其连接的服务节点提出数据要求，实时接收服务节点的数据反馈，并结合网络拓扑信息，进行信息汇聚处理，得出攻击的探测结果；所述服务节点为多个，分别部署安装在各个网络设备上，所述网络设备包括网关设备、可编程交换机、网络安全一体机和计算机系统上，各服务节点用于和汇聚控制器建立通信通道，每个服务节点向一个或者多个汇聚控制器注册、连接，并接受该汇聚控制器的管控。本发明可以根据这个局部网络内汇聚的内容进行“局部”分析，提高整个系统的执行效率和拒绝服务攻击监控效果。

摘要： 本申请公开了一种分布式拒绝服务攻击的防御方法、装置及服务器，该方案中，首先获取目标主机的当前周期内的网络流量，在该网络流量达到相应阈值后判断是否存在当前周期的数据包的类型与存储模块中预存储的异常数据包的类型相同，若存在相同则拦截该数据包，若存在不相同则再次判断该数据包的类型是否为新增的异常数据包的类型，若是则拦截该数据包。本方案首先通过网络流量的阈值进行初步判断，在达到相应阈值后再将当前周期内与曾经出现过的异常数据包的类型相同的数据包进行直接拦截，类型不同的数据包再进行后续判断，这样的判断过程增加了目标主机对于分布式拒绝服务攻击的识别效率和识别准确率，也增加了目标主机的安全性。

摘要： 本发明公开了一种分布式拒绝服务攻击处理方法、装置、服务器及存储介质。其中，该方法包括：接收分布式拒绝服务开放威胁信令(DOTS)客户端发送的缓解请求；基于所述缓解请求通知缓解提供方进行缓解服务；接收所述缓解服务的缓解结果；根据所述缓解结果调整攻击类型对应的攻击检测策略。本发明实施例可以根据现网的实际攻击情况来调整攻击类型对应的攻击检测策略，能够有效避免因为攻击检测策略不合理造成的被攻击对象的缓解请求误报，改善DDoS攻击的缓解效果。

摘要： 本发明涉及一种分布式拒绝服务攻击检测方法、装置及服务器，所述方法包括：预先对预设时间段内采集的多维度流量数据进行离线计算，得到每个维度的流量值基线；对获取的实时流量进行解包，得到多维度实时流量数据；根据所述多维度实时流量数据，统计每个维度的实时流量值；将每个维度的所述实时流量值与所述流量值基线进行差异比较；分析所述差异比较的结果，判断是否输出告警信息。本发明能够适应现网复杂的业务流量形态，避免了一刀切阈值产生的误告警和小流量漏报，提高了检测的准确率，并且提升了检测的灵敏度。